Apple Airdrop Bug podría filtrar el número de teléfono y el correo electrónico del usuario



– Recientemente se informó que AirDrop, una función para compartir archivos de forma inalámbrica a través de Bluetooth y Wi-Fi entre dispositivos Apple, tiene una vulnerabilidad de seguridad (error).

Esto fue revelado por los hallazgos de investigadores del Laboratorio de Redes Móviles Seguras (SEEMOO) y el Grupo de Ingeniería de Criptografía y Privacidad (ENCRYPTO) en la Universidad Técnica de Darmstadt, Alemania.

Los investigadores alemanes calificaron el error como una “fuga grave de privacidad”, ya que permitió que AirDrop filtrara los números de teléfono y las direcciones de correo electrónico de los usuarios de iPhone a los piratas informáticos.

Lea también: Google lanza Near Share en Android, funciones para compartir archivos similares a Apple AirDrop

“Todo lo que necesitan los piratas informáticos es un dispositivo habilitado para Wi-Fi y la proximidad física a un objetivo utilizando la función AirDrop en un dispositivo iOS o macOS”, escribieron los investigadores en su sitio web oficial.

Según los investigadores, el principal problema de la vulnerabilidad de AirDrop radica en el débil mecanismo de hashing que utiliza Apple cuando AirDrop realiza un proceso de “búsqueda” del dispositivo al que quiere enviar archivos.

Ilustración de la función AirDrop en iPhone.Apple Support Ilustración de la función AirDrop en el iPhone.

De forma predeterminada, AirDrop solo mostrará los dispositivos que reciben archivos cuyos propietarios ya figuran en la lista de contactos.

Para determinar si una persona está en los contactos de un usuario o no, AirDrop utiliza un mecanismo de autenticación mutua que compara el número de teléfono y la dirección de correo electrónico del usuario con la lista de contactos en la agenda del dispositivo del destinatario.

Se dice que este proceso de autenticación mutua ha sido encriptado por Apple utilizando el método hash, por lo que los datos intercambiados no deben ser espiados por otras partes.

Hash es un método de cifrado que puede convertir datos de entrada en forma de texto (por ejemplo, contraseñas) en salida, como códigos aleatorios.

Lea también: Proveedor de Apple atacado por ransomware, los piratas informáticos amenazan con difundir diseños de MacBook

Sin embargo, estos investigadores alemanes revelaron que el mecanismo de hashing utilizado por Apple era débil, por lo que podía filtrar números de teléfono y direcciones de correo electrónico de los usuarios.

“Este hashing puede revertirse fácilmente a su forma de texto original mediante técnicas simples como los ataques de fuerza bruta”, escribieron los investigadores.

Hay más de 1.500 millones de dispositivos Apple que podrían verse afectados por esta vulnerabilidad. Se sabe que los investigadores informaron a Apple sobre la vulnerabilidad desde mayo de 2019.

Sin embargo, según lo recopilado por KompasTekno de PhoneArena, el lunes (26/4/2021), hasta el momento no ha habido ninguna declaración oficial de Apple con respecto a la brecha de seguridad en cuestión o esfuerzos para solucionarla.

El equipo de investigación de la Universidad Técnica de Darmstadt propuso una solución llamada “PrivateDrop” en lugar de AirDrop en dispositivos iOS y macOS. Se dice que PrivateDrop puede llevar a cabo el proceso de descubrimiento de contactos entre dispositivos sin la necesidad de intercambiar valores hash que son propensos a ser pirateados.

Botón volver arriba